Главная страница
Навигация по странице:

  • Методология проектирования гарантированно защищенных КС

  • Для учета влияния субъектов в КС необходимо рассматривать расширенную схему взаимодействия элементов системы реализации и гарантирования ПБ. Ядро безопасности с учетом контроля порождения субъектов

  • Метод генерации изолированной программной среды (ИПС).

  • Модели типовых политик безопасности компьютерных средств защиты информации. Дискреционные и мандатные модели .

  • Пользователи (Users – u). Задания (Jobs – j). Терминалы (Terminal – t). Файлы (File – f).

  • Модель Белла-Лападула

  • Первое правило модели Белла-Лападула

  • Второе правило модели Белла-Лападула

  • Представление моделей показано в вебинаре, ссылка на последнем слайде Литература

  • Интернет-ресурсы https://www.youtube.com/watchv=4GUiFmb78bk Вебинар Конфидент Модели, время 20.18

    		•

    ПАСЗИ. лекция 8. Методология проектирования гарантированно защищенных кс дискреционные модели Мандатные модели


    Скачать 0.62 Mb.
    НазваниеМетодология проектирования гарантированно защищенных кс дискреционные модели Мандатные модели
    АнкорПАСЗИ
    Дата03.03.2022
    Размер0.62 Mb.
    Формат файлаpptx
    Имя файлалекция 8.pptx
    ТипДокументы
    #382190
    Методология проектирования гарантированно защищенных КС Дискреционные модели Мандатные модели
    МДК 02.01. _
    термины
    • Монитор безопасности объектов разрешает порождение потоков только из множества L, если все существующие в системе субъекты абсолютно корректны относительно него и друг друга. Сформулированное утверждение накладывает весьма жесткие и трудноисполнимые условия на свойства субъектов. Монитор порождения субъектов (МПС) – субъект, активизирующийся при любом порождении субъектов. Монитор безопасности субъектов (МБС) – такой МПС, который разрешает порождение только фиксированного подмножества субъектов.
    Термины и условия
    • Обозначим через E - подмножество субъектов, порождения которых разрешено МБС. Компьютерная система называется замкнутой по порождению субъектов (замкнутой программной средой), если в ней действует МБС. Множество субъектов АС называется изолированным (абсолютно изолированным), если в ней действует МБС и субъекты из порождаемого множества корректны (абсолютно корректны) относительно друг друга и МБС.
    Термины и условия
    • Любое подмножество субъектов изолированная программная среда ИПС (абсолютно изолированная программная среда АИПС) включающее МБС, также составляет ИПС (АИПС). Дополнение ИПС (АИПС) субъектом, корректным (абсолютно корректным) относительно других субъектов, является ИПС. Теперь возможно переформулировать достаточное условие гарантированного выполнения политики безопасности следующим образом. Если в абсолютно изолированной компьютерной системе существует МБО и порождаемые субъекты абсолютно корректны относительно МБО, а также МБС абсолютно корректен относительно МБО, то в такой КС реализуется только доступ, описанный правилами разграничения доступа (ПРД).
    Методология проектирования гарантированно защищенных КС
    • Сущность данной методологии состоит в том, что при проектировании защитных механизмов КС необходимо опираться на совокупность приведенных выше достаточных условий, которые должны быть реализованы для субъектов, что гарантирует защитные свойства, определенные при реализации МБО (Монитор безопасности объектов) в КС (т. е. гарантированное выполнение заданной МБО политики безопасности).
    • Рассмотренная концепция изолированной программной среды является расширением зарубежных подходов к реализации ядра безопасности. Обычно модель функционирования ядра безопасности изображается в виде следующей схемы, представленной на рис. , слайд 4
    Применение
    • "База данных защиты" означает объект, содержащий в себе информацию о потоках множества L (защита по "белому списку" - разрешения на потоки) или N (защита по "черному списку" - запрещение на потоки).
    Для учета влияния субъектов в КС необходимо рассматривать расширенную схему взаимодействия элементов системы реализации и гарантирования ПБ. Ядро безопасности с учетом контроля порождения субъектов
    Метод генерации изолированной программной среды (ИПС).
    • Для создания гарантированно защищенной КС (в смысле выполнения заданной политики безопасности) необходимо: 1, Убедиться в попарной корректности субъектов, замыкаемых в ИПС (либо убедиться в корректности любого субъекта относительно МБО и МБС); 2. Спроектировать и реализовать программное (или программно-аппаратное) МБС так, чтобы: - для любого субъекта и любого объекта производился контроль порождения субъектов (т. е. чтобы реализация МБС соответствовала его определению); - порождение любого субъекта происходило с контролем неизменности объекта-источника.
    • 3. Реализовать МБО в рамках априорно сформулированной политики безопасности Практическая реализация ИПС может состоять из двух этапов: предопределенное выполнение начальной фазы, включающее в себя момент активизации МБС (и МБО), и работа в стационарной фазе в режиме ИПС (возможно, с, контролем неизменности объектов-источников). При реализации ИПС на нее должна быть возложена функция контроля запусков программ и контроля целостности. При описании методологии проектирования ИПС упоминалась проблема контроля реальных данных. Эта проблема состоит в том, что контролируемая на целостность информация может представляться по-разному на разных уровнях.
    • Внедренный в систему субъект может влиять на процесс чтения-записи данных на уровне файлов (или на уровне секторов) и предъявлять системе контроля некоторые другие вместо реально существующих данных. Этот механизм неоднократно реализовался в STELS-вирусах.
    • Если субъект, обслуживающий процесс чтения данных (т. е. указанный субъект инициируется запрашивающим данные субъектом и участвует в потоке), содержал только функции тождественного отображения данных на ассоциированные объекты-данные любого субъекта, инициирующего поток чтения, и целостность объекта-источника для этого субъекта зафиксирована, то при его последующей неизменности чтение с использованием порожденного субъекта будет чтением реальных данных.
    Модели типовых политик безопасности компьютерных средств защиты информации.  Дискреционные и мандатные модели .
    • Дискреционные Дискреционные модели – это модели, созданные на основе дискретных компонент. В этих моделях система защиты представляется в виде декартового произведения множества, которое представляет собой элементы защиты.
    .
    • Каждый объект безопасности описывается вектором (A, C, F, M), который описывает параметры безопасности. Компетенция A – элемент из набора упорядоченных универсальных положений о безопасности, включающих априорно заданные возможные в КС характеристики объекта безопасности, например, категория конфиденциальности объекта:
    • НЕСЕКРЕТНО,
    • КОНФИДЕНЦИАЛЬНО, СЕКРЕТНО, СОВЕРШЕННО СЕКРЕТНО.
    .
    • Категория C – рубрикатор (тематическая классификация). Рубрики не зависят от уровня компетенции. Пример набора рубрик: ФИНАНСОВЫЙ, ПОЛИТИЧЕСКИЙ, БАНКОВСКИЙ. Полномочия F – перечень пользователей, имеющих право на доступ к данному объекту. Режим M – набор видов доступа, разрешенных для определенного объекта или осуществляемых объектом. Пример: ЧИТАТЬ ДАННЫЕ, ЗАПИСЫВАТЬ ДАННЫЕ, ИЗМЕНЯТЬ ДАННЫЕ, ИСПОЛНИТЬ ПРОГРАММУ (исполнение программ понимается как порождение активной компоненты из некоторого объекта - как правило, исполняемого файла).
    Мандатная модель
    • Суть мандатного принципа контроля доступа состоит в сопоставлении каждому субъекту (пользователю) и объекту системы классификационных меток, которые можно условно считать уровнями секретности, кроме того, внутри каждого уровня секретности содержатся категории (их можно понимать как отделы или подразделения). Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила — читать можно только то, что положено.
    Мандатная модель
    • Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, "конфиденциальный" субъект может писать в секретные файлы, но не может — в несекретные (разумеется, должны также выполняться ограничения на набор категорий). На первый взгляд подобное ограничение может показаться странным, однако оно вполне разумно.
    • Ни при каких операциях уровень секретности информации не должен понижаться, хотя обратный процесс вполне возможен.
    • Посторонний человек может случайно узнать секретные сведения и сообщить их куда следует, однако лицо, допущенное к работе с секретными документами, не имеет права раскрывать их содержание.
    • Мандатная политика безопасности устойчива к атакам “Троянским конем”. На чем строится защита от таких атак поясним на примере.
    Модель АДЕПТ-50
    • Данная модель - одна из первых моделей безопасности. Модель рассматривает только объекты, которые типизированы на 4 группы объектов безопасности: Пользователи (Users – u). Задания (Jobs – j). Терминалы (Terminal – t). Файлы (File – f).
    Модель Белла-Лападула.
    • Модель Белла-Лападула - это одна из первых моделей политики безопасности и впоследствии наиболее часто используемая. Она была разработана для обоснования безопасности систем, использующих многоуровневую политику безопасности. Классическая модель Белла-Лападула построена для анализа систем защиты, реализующих мандатное разграничение доступа.
    • Возможность ее использования в качестве формальной модели таких систем непосредственно отмечена в критерии TCSEC («Оранжевая книга»). Модель Белла-Лападула была предложена в 1975 году.
    Модель Белла-Лападула
    • Кроме того, они обнаружили, что для предотвращения утечки информации к неуполномоченным субъектам этим субъектам с низкими уровнями секретности не позволяется читать информацию из объектов с высокими уровнями секретности. Это ведет к первому правилу модели Белла-Лападула.
    Первое правило модели Белла-Лападула
    • Простое свойство безопасности, также известное как правило “нет чтения вверх” (No Read Up, NRU) или как свойство простой безопасности (ss-свойство), гласит, что субъект с уровнем секретности Хs,может читать информацию из объекта с уровнем секретности Х0 , только если Хs преобладает над Х0.Это означает, что если в системе, удовлетворяющей правилам модели Белла-Лападула, субъект с уровнем доступа «Секретный» попытается прочитать информацию из объекта, классифицированного как «Совершенно секретный», то такой доступ будет запрещен.
    • Белл и Лападул сделали дополнительное наблюдение при построении своей модели: в правительстве США субъектам не позволяется размещать информацию или записывать ее в объекты, имеющие более низкий уровень секретности. Например: когда «Совершенно секретный» документ помещается в «Неклассифицированное» мусорное ведро. В таком случае может произойти утечка информации. Это ведет ко второму правилу модели Белла-Лападула.
    Второе правило модели Белла-Лападула
    • Свойство, известное как правило “нет записи вниз” (No Write Down, NWD) или как свойство ограничения, гласит, что субъект с уровнем секретности Хs может писать информацию в объект с уровнем секретности Х0, только если Х0 преобладает над Хs. Это означает, что если в системе, удовлетворяющей правилам модели Белла-Лападула, субъект с уровнем доступа «Совершенно секретно» попытается записать информацию в «Неклассифицированный» объект, то такой доступ не будет разрешен.
    • Введение свойства «нет записи вниз» разрешает проблему троянских коней, так как запись информации на более низкий уровень секретности, типичная для троянских коней, запрещена. Правила запрета по записи и чтению отвечают интуитивным представлениям о том, как предотвратить утечку информации к неуполномоченным источникам. На рис., слайд 20 показаны потоки информации в модели Белла-Лападула.
    Представление моделей показано в вебинаре, ссылка на последнем слайде
    Литература
    Программно-аппаратные средства защиты информации. Защита программного обеспечения. Учебник и практикум для вузов О. В. Казарин,А. С. Забабурин М.: Издательство «Юрайт», 2019
    • Программно-аппаратные средства обеспечения информационной безопасности. Практикум. "Практикум. Душкин А. В. , Барсуков О. М. , Кравцов Е. В. , Славнов К. В. , Кущев С. С." М.: Горячая Линия – Телеком,2019
    Интернет-ресурсы
    https://www.youtube.com/watch?v=4GUiFmb78bk
    Вебинар Конфидент
    Модели, время 20.18

    написать администратору сайта